Bonzo Lend, sebuah protokol peminjaman dan pinjaman non-kustodial yang dibangun di jaringan Hedera [HBAR], baru-baru ini dieksploitasi. Eksploitasi ini terjadi setelah sebuah eksploitasi oracle memungkinkan penyerang meminjam aset melebihi jaminan yang dipasang. Akibatnya, Bonzo Lend menderita kerugian sebesar $9,05 juta.
Temuan awal mengaitkan pelanggaran ini dengan cacat dalam verifikasi tanda tangan Supra, yang memungkinkan manipulasi umpan harga SAUCE. Penyerang kemudian mengamankan pinjaman tanpa jaminan yang cukup sebelum protokol menghentikan aktivitas.


Dalam sebuah postingan di X, Hedera mengonfirmasi bahwa kontrak pintar Bonzo Lend dan jaringan inti Hedera tidak dikompromikan. Penemuan itu mempersempit kegagalan ke infrastruktur oracle eksternal daripada keamanan blockchain.
Sementara itu, eksploitasi dengan cepat merembet ke sentimen pasar. Saat berita ini ditulis, HBAR turun menjadi sekitar $0,068, sementara TVL DeFi Hedera anjlok 21,43% menjadi $25,4 juta. Penurunan ini mencerminkan penarikan modal meskipun jaringan itu sendiri tetap tidak dikompromikan.


Namun, eksploitasi ini mengungkapkan pentingnya oracle harga yang tangguh. Seiring upaya pemulihan berlanjut, pengamanan dan standar verifikasi oracle yang lebih kuat kemungkinan akan menjadi sangat penting untuk melindungi protokol peminjaman DeFi.
Cacat Oracle Mengungkap Risiko DeFi
Audit terhadap kontrak pintar Bonzo Lend menentukan bahwa tidak ada masalah terkait dengannya. Namun, audit itu juga mengidentifikasi bagaimana serangan tersebut berhasil. Meskipun protokol telah membaca harga SAUCE yang dimanipulasi untuk menghitung jaminan tepat seperti yang didefinisikan oleh protokol, hal itu dilakukan persis seperti yang dirancang.
Auditor menghilangkan kemungkinan pinjaman kilat (flash loans) dan manipulasi pasar berdasarkan pengamatan mereka bahwa volume perdagangan SAUCE hanya memuncak pada beberapa ribu dolar.
Alih-alih menggunakan metode-metode itu, penyerang mengeksploitasi ketergantungan protokol pada input oracle yang dipercaya. Meskipun kode dieksekusi dengan sempurna, penyerang masih dapat mengubah aturan protokol menjadi senjata melawan pengguna dan pemilik protokol. Pola itu mencerminkan risiko DeFi yang berulang di mana aturan itu sendiri menjadi senjata meskipun eksekusi kode sempurna. Eksploitasi logika protokol semacam itu tetap menjadi kategori berulang dalam basis data peretasan DefiLlama.
Oleh karena itu, pola berulang semacam itu mendorong protokol untuk mengadopsi simulasi ekonomi, verifikasi formal, dan program hadiah bug (bug bounties), di samping audit kontrak pintar tradisional.
Ringkasan Akhir
- Eksploitasi oracle Hedera mengungkap risiko kritis dalam umpan harga yang dipercaya.
- HBAR menunjukkan bahwa logika protokol yang benar masih dapat memungkinkan eksploitasi bernilai jutaan dolar.






